Copier une AMI - Amazon Elastic Compute Cloud

Copier une AMI

Vous pouvez copier une Amazon Machine Image (AMI) à l'intérieur ou à travers des Régions AWS. Vous pouvez copier à la fois les AMIs basées sur Amazon EBS et les AMIs basées sur le stockage d'instance. Vous pouvez copier les AMI avec des instantanés chiffrés et également modifier le statut de chiffrement pendant le processus de copie. Vous pouvez copier les AMI partagées avec vous.

La copie d'une AMI source crée une AMI cible identique mais distincte, avec son propre identificateur unique. Vous pouvez modifier ou annuler l'enregistrement d'une AMI source sans que cela ait un impact sur l'AMI cible. L'inverse est également vrai.

Dans le cas d'une AMI basée sur des volumes Amazon EBS, chacun de ses instantanés est copié dans un instantané cible identique mais distinct. Si vous copiez une AMI dans une nouvelle région, les instantanés sont des copies complètes (non incrémentielles). Si vous chiffrez des instantanés de sauvegarde non chiffrés ou si vous les chiffrez sur une nouvelle clé KMS, les instantanés sont des copies complètes (non incrémentielles). Les opérations de copie suivantes d'une AMI créent des copies incrémentielles des instantanés de sauvegarde.

Vous n'êtes pas facturé pour la copie d'une AMI. Toutefois, les taux standard de stockage et de transfert de données s'appliquent. Si vous copiez une AMI basée sur EBS, des frais seront facturés pour le stockage de tout instantané EBS supplémentaire.

Considérations

  • Vous pouvez utiliser des politiques IAM pour accorder ou refuser aux utilisateurs les autorisations de copier des AMI. Les autorisations de niveau ressource spécifiées pour l'action CopyImage s'appliquent uniquement à la nouvelle AMI. Vous ne pouvez pas spécifier d'autorisations au niveau des ressources pour l'AMI source.

  • AWS ne copie pas les autorisations de lancement, les identifications définies par l'utilisateur ou les autorisations de compartiment Amazon S3 de l'AMI source vers la nouvelle AMI. Une fois la copie terminée, vous pouvez appliquer les autorisations de lancement, les balises définies par l'utilisateur et les permissions de compartiment Amazon S3 à la nouvelle AMI.

  • Si vous utilisez une AMI AWS Marketplace ou une AMI dérivée directement ou indirectement d'une AMI AWS Marketplace, vous ne pouvez pas la copier d'un compte à un autre. À la place, lancez une instance EC2 en utilisant l'AMI d'AWS Marketplace, puis créez une AMI à partir de cette instance. Pour plus d'informations, consultez Créer une AMI Linux basée sur Amazon EBS.

Autorisations nécessaires pour copier une AMI basée sur le stockage d'instance

Si vous utilisez un utilisateur IAM pour copier une AMI basée sur le stockage d'instance, l'utilisateur doit disposer des autorisations Amazon S3 suivantes : s3:CreateBucket, s3:GetBucketAcl, s3:ListAllMyBuckets, s3:GetObject, s3:PutObject et s3:PutObjectAcl.

L'exemple de politique suivant permet à l'utilisateur de copier l'AMI source dans le compartiment spécifié de la région spécifiée.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": [ "arn:aws:s3:::*" ] }, { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::ami-source-bucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketAcl", "s3:PutObjectAcl", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amis-for-123456789012-in-us-east-1*" ] } ] }

Pour trouver le Amazon Resource Name (ARN) du compartiment source de l'AMI, ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/, puis choisissez AMI dans le panneau de navigation et recherchez le nom du compartiment dans la colonne Source.

Note

L'autorisation s3:CreateBucket n'est requise que la première fois que l'utilisateur IAM copie un magasin d'instance sauvegardé AMI dans une région donnée. Après cela, le compartiment Amazon S3 qui est déjà créé dans la région est utilisé pour stocker tous les futurs AMIs que vous copiez dans cette région.

Copier une AMI

Vous pouvez copier une AMI à l'aide de la AWS Management Console, de l'AWS Command Line Interface, des kits SDK ou de l'API Amazon EC2, qui prennent tous en charge l'action CopyImage.

Prérequis

Créez ou obtenez une AMI basée sur un instantané Amazon EBS. Notez que vous pouvez utiliser la console Amazon EC2 pour effectuer une recherche parmi une grande variété d'AMI fournies par AWS. Pour plus d'informations, consultez Créer une AMI Linux basée sur Amazon EBS et Recherche d'une AMI.

New console

Pour copier une AMI à l'aide de la console

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation de la console, sélectionnez la région comportant l'AMI.

  3. Dans le panneau de navigation, choisissez Images, puis AMI afin d'afficher la liste des AMIs disponibles pour vous dans la région.

  4. Sélectionnez l'AMI à copier, puis choisissez Actions et Copier l'AMI.

  5. Sur la page Copy AMI (Copier une AMI), spécifiez les informations suivantes :

    • AMI copy name (Nom de la copie de l'AMI) : un nom pour la nouvelle AMI. Vous pouvez inclure des informations sur le système d'exploitation dans le nom, car nous ne fournissons pas ces informations lors de l'affichage des détails relatifs à l'AMI.

    • AMI copy description (Description de la copie de l'AMI) : par défaut, la description inclut des informations sur l'AMI source afin que vous puissiez distinguer la copie de l'original. Vous pouvez modifier cette description si nécessaire.

    • Région de destination : région dans laquelle vous souhaitez copier l'AMI. Pour plus d'informations, consultez Copie entre régions.

    • Encrypt EBS snapshots of AMI copy (Chiffrer les instantanés EBS de la copie AMI) : cochez cette case pour chiffrer les instantanés cibles ou pour les rechiffrer en utilisant une clé différente. Si vous avez activé le chiffrement par défaut, la case Encrypt EBS snapshots of AMI copy (Chiffrer les instantanés EBS de la copie AMI) est cochée et ne peut pas être désactivée. Pour plus d'informations, consultez Chiffrement et copie.

    • Clé KMS : clé KMS utilisée pour chiffrer les instantanés cibles.

  6. Choisissez Copy AMI (Copier l'AMI).

    L'état initial de la nouvelle AMI est Pending. L'opération de copie AMI est terminée lorsque l'état passe à Available.

Old console

Pour copier une AMI à l'aide de la console

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation de la console, sélectionnez la région comportant l'AMI. Dans le panneau de navigation, choisissez Images, puis AMI afin d'afficher la liste des AMIs disponibles pour vous dans la région.

  3. Sélectionnez l'AMI à copier, puis choisissez Actions et Copier l'AMI.

  4. Dans la boîte de dialogue Copier l'AMI, spécifiez les informations suivantes, puis choisissez Copier l'AMI :

    • Région de destination : région dans laquelle vous souhaitez copier l'AMI. Pour plus d'informations, consultez Copie entre régions.

    • Nom : nom de la nouvelle AMI. Vous pouvez inclure des informations sur le système d'exploitation dans le nom, car nous ne fournissons pas ces informations lors de l'affichage des détails relatifs à l'AMI.

    • Description : par défaut, la description inclut des informations sur l'AMI source afin que vous puissiez identifier une copie à partir de l'original. Vous pouvez modifier cette description si nécessaire.

    • Chiffrement : sélectionnez ce champ pour chiffrer les instantanés ou pour les rechiffrer à l'aide d'une clé différente. Si vous avez activé le chiffrement par défaut, l'option Chiffrement est activée et ne peut pas être désactivée. Pour plus d'informations, consultez Chiffrement et copie.

    • Clé KMS : clé KMS utilisée pour chiffrer les instantanés cibles.

  5. Nous affichons une page de confirmation pour vous avertir que l'opération de copie a été lancée et pour vous communiquer l'ID de la nouvelle AMI.

    Pour vérifier la progression de l'opération de copie immédiatement, suivez le lien fourni. Pour vérifier la progression ultérieurement, choisissez Effectué puis, une fois que vous êtes prêt, utilisez la barre de navigation afin de passer à la région cible (le cas échéant) et de rechercher l'AMI dans la liste des AMI.

    Le statut initial de l'AMI cible est pending et l'opération est terminée lorsque le statut est available.

Pour copier une AMI à l'aide de la AWS CLI

Vous pouvez copier une AMI à l'aide de la commande copy-image. Vous devez indiquer les régions source et de destination. Vous spécifiez la région source à l'aide du paramètre --source-region. Vous pouvez spécifier la région de destination à l'aide du paramètre --region ou d'une variable d'environnement. Pour plus d'informations, consultez Configuration de l'interface de ligne de commande AWS.

Lorsque vous chiffrez un instantané cible pendant la copie, vous devez spécifier ces paramètres supplémentaires : --encrypted et --kms-key-id.

Pour copier une AMI à l'aide de Tools for Windows PowerShell

Vous pouvez copier une AMI à l'aide de la commande Copy-EC2Image. Vous devez indiquer les régions source et de destination. Vous spécifiez la région source à l'aide du paramètre -SourceRegion. Vous pouvez spécifier la région de destination à l'aide du paramètre -Region ou de la commande Set-AWSDefaultRegion. Pour plus d'informations, consultez Spécification des régions AWS.

Lorsque vous chiffrez un instantané cible pendant la copie, vous devez spécifier ces paramètres supplémentaires : -Encrypted et -KmsKeyId.

Arrêter la copie d'une AMI en attente

Vous pouvez arrêter une copie d'AMI en attente comme suit.

New console

Pour arrêter l'opération de copie d'une AMI à l'aide de la console

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation, sélectionnez la région de destination dans le sélecteur de régions.

  3. Dans le panneau de navigation, sélectionnez AMI.

  4. Sélectionnez l'AMI dont vous voulez arrêter la copie et choisissez Actions, puis Deregister AMI (Annuler l'enregistrement de l'AMI).

  5. Lorsque vous êtes invité à confirmer l'opération, choisissez Deregister AMI (Annuler l'enregistrement de l'AMI).

Old console

Pour arrêter l'opération de copie d'une AMI à l'aide de la console

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation, sélectionnez la région de destination dans le sélecteur de régions.

  3. Dans le panneau de navigation, sélectionnez AMI.

  4. Sélectionnez l'AMI à arrêter de copier et choisissez Actions et Annuler l'inscription.

  5. Lorsque vous êtes invité à confirmer l'opération, choisissez Continuer.

Pour arrêter une opération de copie d'une AMI à l'aide de la ligne de commande

Vous pouvez utiliser l'une des commandes suivantes. Pour obtenir plus d'informations sur les CLI (interface ligne de commande), consultez le didacticiel Accès à Amazon EC2.

Copie entre régions

La copie d'une AMI entre différentes régions géographiques offre les avantages suivants :

  • Déploiement international uniforme : la copie d'une AMI d'une région à l'autre vous permet de lancer des instances uniformes reposant sur la même AMI dans différentes régions.

  • Évolutivité : vous pouvez plus facilement concevoir et créer des applications d'envergure internationale répondant aux besoins de vos utilisateurs, quel que soit l'emplacement.

  • Performances : vous pouvez accroître les performances en distribuant votre application, ainsi qu'en recherchant les composants critiques de votre application plus près de vos utilisateurs. Vous pouvez également bénéficier de fonctions propres aux régions, par exemple les types d'instance ou d'autres services AWS.

  • Disponibilité élevée : vous pouvez concevoir et déployer des applications dans différentes régions AWS afin d'accroître leur disponibilité.

Le diagramme suivant représente les relations entre une AMI source et deux AMIs copiées dans différentes régions, ainsi que les instances EC2 lancées à partir de chacune d'entre elles. Lorsque vous lancez une instance à partir d'une AMI, elle se trouve dans la même région que l'AMI. Si vous modifiez l'AMI source et que vous souhaitez faire apparaître ces modifications dans les AMIs des régions cibles, vous devez recopier l'AMI source dans les régions cibles.


				AMI copiées dans différentes régions

La première fois que vous copiez une AMI basée sur le stockage d'instance dans une région, nous créons un compartiment Amazon S3 pour les AMIs copiées dans cette région. Toutes les AMIs basées sur le stockage d'instance que vous copiez dans cette région sont stockées dans ce compartiment. Les noms des compartiments ont le format suivant : amis-for-account-in-region-hash. Par exemple : amis-for-123456789012-in-us-east-2-yhjmxvp6.

Prérequis

Avant de copier une AMI, vous devez veiller à ce que le contenu de l'AMI source ait été mis à jour afin de pouvoir être exécuté dans une région différente. Par exemple, vous devez mettre à jour toutes les chaînes de connexion à la base de données ou des données de configuration d'application similaires de façon à ce qu'elles pointent vers les ressources appropriées. Sinon, les instances lancées depuis la nouvelle AMI dans la région de destination seraient susceptibles d'utiliser encore les ressources de la région source, ce qui aurait des répercussions sur les performances et le coût.

Limites

  • Les régions de destination sont limitées à 100 copies d'une AMI à la fois.

  • Vous ne pouvez pas copier une AMI paravirtuelle (PV) vers une région qui ne prend pas en charge les AMI PV. Pour plus d'informations, consultez Types de virtualisation AMI Linux.

Copie entre comptes

Vous pouvez partager une AMI avec un autre compte AWS. Le partage d'une AMI n'affecte pas la propriété de celle-ci. Le compte propriétaire est facturé pour le stockage dans la région. Pour plus d'informations, consultez Partager une AMI avec des comptes AWS spécifiques.

Si vous copiez une AMI qui a été partagée avec votre compte, vous êtes le propriétaire de l'AMI cible de votre compte. Le propriétaire de l'AMI source se voir facturer des frais standard de transfert Amazon EBS ou Amazon S3, et vous devez régler le stockage de l'AMI cible dans la région de destination.

Autorisations d'accès aux ressources

Pour copier une AMI qui a été partagée avec vous à partir d'un autre compte, le propriétaire de l'AMI source doit vous accorder des autorisations de lecture pour le stockage sur lequel est basée l'AMI, soit l'instantané EBS associé (pour une AMI basée sur Amazon EBS) soit un compartiment S3 associé (pour une AMI basée sur le stockage d'instance). Si l'AMI partagée comporte des instantanés chiffrés, le propriétaire doit également partager la ou les clé(s) avec vous.

Chiffrement et copie

Le tableau suivant représente la prise en charge du chiffrement dans divers cas de figure de copie d'AMI. Bien qu'il soit possible de copier un instantané non chiffré pour créer un instantané chiffré, vous ne pouvez pas copier un instantané chiffré et en créer un qui ne soit pas chiffré.

Scénario Description Pris en charge
1 Non chiffré vers non chiffré Oui
2 Chiffré vers chiffré Oui
3 Non chiffré vers chiffré Oui
4 Chiffré vers non chiffré Non
Note

Le chiffrement pendant l'action CopyImage s'applique uniquement aux AMIs basées sur Amazon EBS. Dans la mesure où une AMI basée sur le stockage d'instance ne s'appuie pas sur les instantanés, vous ne pouvez pas utiliser la copie pour modifier son statut de chiffrement.

Par défaut (à savoir, sans spécifier les paramètres de chiffrement), l'instantané sur lequel repose une AMI est copié avec son statut de chiffrement initial. La copie d'une AMI reposant sur un instantané non chiffré crée un instantané cible identique qui n'est pas chiffré non plus. Si l'AMI source est basée sur un instantané chiffré, sa copie crée un instantané cible identique qui est chiffré avec la même clé AWS KMS. La copie d'une AMI basée sur plusieurs instantanés conserve, par défaut, le statut de chiffrement source dans chaque instantané cible.

Si vous spécifiez les paramètres de chiffrement lors de la copie d'une AMI, vous pouvez chiffrer ou rechiffrer ses instantanés. L'exemple suivant montre un cas (non par défaut) qui fournit les paramètres de chiffrement à l'action CopyImage dans le but de modifier l'état de chiffrement de l'AMI cible.

Copier une AMI source non chiffrée vers une AMI cible chiffrée

Dans ce scénario, une AMI basée sur un instantané racine non chiffré est copiée sur une AMI avec un instantané racine chiffré. L'action CopyImage est appelée avec deux paramètres de chiffrement, y compris une clé gérée par le client. Par conséquent, l'état de chiffrement de l'instantané racine change, de sorte que l'AMI cible est basée sur un instantané racine contenant les mêmes données que l'instantané source, mais chiffrée à l'aide de la clé spécifiée. Vous supportez des coûts de stockage pour les instantanés dans les deux AMI, ainsi que des frais pour toutes les instances que vous lancez à partir de l'une ou l'autre AMI.

Note

L'activation du chiffrement par défaut a le même effet que la définition du paramètre Encrypted à true pour tous les instantanés de l'AMI.


		Copier l'AMI et chiffrer l'instantané à la volée

Définir le paramètre Encrypted chiffre l'instantané unique de cette instance. Si vous ne spécifiez pas le paramètre KmsKeyId, la clé gérée par le client par défaut est utilisée pour chiffrer la copie de l'instantané.

Pour plus d'informations sur la copie d'AMIs avec des instantanés chiffrés, consultez Utiliser le chiffrement avec des AMI basées sur EBS.